AD 環境で、DES キーのみを使用するように設定されているいくつかのキータブを特定しました。さらに、これらのプリンシパルは、ADDS で USEDESKEYONLY 属性が true に設定されています。私たちの目標は、キータブを「更新」して AES を使用することです。
現在、setspn を介して SPN を解放し、サービス アカウントのパスワードを変更し (後で使用します)、USEDESKEYONLY 属性を false に更新し、「AES-256 をサポート」に設定し、ktpass を使用してキータブを再生成する必要があると思います。適切な暗号を使用した新しいパスワード、および -mapuser をリリースされた SPN に戻してから、keytab バイナリを、キータブが保持されているサービス (SSO) に戻します。これらはすべて、メンテナンス ウィンドウで発生します。
私が正しい道を進んでいるかどうかを確認できる人はいますか? さらにテストできるオープンソース サービスを推奨できる人はいますか (現在、SSO サービスを使用するテスト環境はありません)。